Transparantie bij Kaspersky

Hoe ons Global Transparency Initiative zich ontwikkelt.

In 2017 lanceerden we ons Global Transparency Initiative (GTI). In het kader van dit project hebben we een deel van onze gegevensinfrastructuur naar Zwitserland overgebracht en hebben we transparantiecentra geopend waar onze partners en klanten de broncode van onze producten kunnen inzien. We hebben ook onze datadiensten en engineeringpraktijken laten evalueren door onafhankelijke, geaccrediteerde derde organisaties. Daarnaast maken we nu regelmatig informatie openbaar over verzoeken van overheidsinstanties om gegevens en technische expertise die Kaspersky ontvangt in het kader van onderzoeken naar cybercriminaliteit. Vandaag bespreken we nieuwe stappen in dit initiatief.

Wat is er gedaan in het kader van het Global Transparency Initiative

In de vijf jaar sinds de lancering van het programma hebben we vier transparantiecentra geopend waar onze klanten en partners de broncode van onze producten en software-updates kunnen bekijken om er zeker van te zijn dat er geen verborgen functies of ongedocumenteerde mogelijkheden in onze oplossingen zitten. Daarnaast stellen we ook onze praktijken op het gebied van engineering en gegevensbeheer ter beschikking voor extern onderzoek. Kaspersky Transparency Centers zijn actief in Europa, Latijns-Amerika en Azië. Voor degenen die niet in staat zijn onze centra persoonlijk te bezoeken, bieden wij bezoeken op afstand aan.

Als technologie- en cyberbeveiligingsbedrijf verwerken we gegevens die onze producten gebruiken om de doeltreffendheid van de aan de gebruikers geboden cyberbescherming te verhogen. Deze gegevens omvatten informatie over cyberbedreigingen, zoals bijvoorbeeld verdachte en schadelijke bestanden die onze producten, als gebruikers daarmee instemmen, doorsturen voor geautomatiseerde malwareanalyse in de cloud. De gegevens helpen ons nieuwe en onbekende bedreigingen te identificeren, onze oplossingen voortdurend te verbeteren en gebruikers betere manieren te bieden om zichzelf te beschermen.

Sinds november 2018 worden dergelijke cyberdreigingsgerelateerde gegevens van onze gebruikers in Europa opgeslagen en verwerkt in onze datacenters in Zwitserland. Korte tijd later hebben we ook de verwerking en opslag van dergelijke gegevens voor gebruikers in Noord-Amerika, Latijns-Amerika, het Midden-Oosten en een aantal landen in de regio Azië-Pacific naar Zwitserland overgebracht.

We ontvingen ook de ISO 27001-certificering van naleving van het onafhankelijke certificeringsinstituut TÜV AUSTRIA. Dit bevestigde dat onze onderneming over een doeltreffend beheerssysteem voor informatiebeveiliging beschikt. Onze gebruikers kunnen erop vertrouwen dat de gegevens die door Kaspersky worden verwerkt, onder het hoogste niveau van bescherming staan.

Daarnaast hebben we een Cyber Capacity Building Program-opleiding gelanceerd voor bedrijven, overheidsorganisaties en de academische wereld om hen te helpen de vaardigheden te ontwikkelen die nodig zijn om hun IT-systemen te beschermen. Meer recent hebben we mogelijkheden uitgebreid en een digitale versie van training gelanceerd, die nu toegankelijk is voor zowel organisaties als individuele gebruikers.

Nieuwe stappen richting transparantie

Kaspersky heeft veel werk verzet op de weg naar meer transparantie, en is niet van plan om het daarbij te laten. We hebben onlangs weer nieuwe stappen gezet in het kader van het Global Transparency Initiative (GTI).

Uitbreiding van datacenters in Zürich

Sinds begin 2022 hebben we de capaciteit van onze datacenters in Zürich aanzienlijk uitgebreid, waardoor we nu ook schadelijke en verdachte bestanden van gebruikers in Latijns-Amerika en het Midden-Oosten kunnen verwerken. Ook hebben wij de verwerking en opslag van dergelijke gegevens over cyberdreigingen verplaatst voor Noord-Amerikaanse landen die daar eerder niet onder vielen: Mexico, Panama, Jamaica en andere eilandnaties.

Zwitserland werd natuurlijk niet voor niets gekozen: dit land heeft een van de strengste regels inzake gegevensbescherming. Onze twee datacenters in Zürich werken ook met apparatuur van wereldklasse die voldoet aan de hoogste industrienormen.

ISO 27001-hercertificering

De Kaspersky-gegevenssystemen zijn opnieuw gecertificeerd door TÜV AUSTRIA in overeenstemming met de vereisten van ISO 27001. En het gaat niet alleen om de vernieuwing van de certificering; dit keer was de reikwijdte van de audit aanzienlijk uitgebreider. De certificering heeft nu betrekking op zowel datasystemen voor de verwerking van gegevens over cyberdreigingen (Kaspersky Distributed File System, KLDFS) als op statistieken (KSNBuffer-database).

TÜV AUSTRIA is een onafhankelijk certificeringsinstituut. We zijn er trots op dat Kaspersky’s aanpak van gegevensbeveiliging opnieuw is erkend.

Werken met verzoeken van overheids- en wetshandhavingsinstanties

Goed, zegt u, gebruikersgegevens zijn veilig, maar hoe zit het met informatieverzoeken van wetshandhavingsinstanties? Kaspersky geeft regelmatig informatie over de manier waarop het met dergelijke verzoeken omgaat en sinds vorig jaar publiceert het bedrijf rapporten over verzoeken van wetshandhavings- en overheidsinstanties. Daarnaast hebben we onlangs een rapport gepubliceerd voor de tweede helft van 2021. Hier volgen een aantal van de belangrijkste cijfers:

  • Onze deskundigen ontvingen 109 verzoeken van regerings- en wetshandhavingsinstanties uit 12 landen.
  • 92 verzoeken hadden betrekking op technische expertise, en 17 ervan bevatten een verzoek om toegang tot gebruikersgegevens.
  • Alle 17 verzoeken om gebruikersgegevens te overhandigen werden afgewezen. Sommige voldeden niet aan de wettelijke vereisten, terwijl andere om gegevens vroegen waarover het bedrijf eenvoudigweg niet beschikte.

Ook gebruikers vragen ons waar en hoe hun persoonsgegevens worden opgeslagen. Sommige mensen vragen om deze te downloaden of te verwijderen. In 2021 behandelden we 2252 van dit soort verzoeken.

Nieuw niveau van onderwijsprogramma

Kaspersky is altijd al bereid geweest om zijn ervaring te delen met de wereldwijde gemeenschap. Wij hebben ons Cyber Capacity Building Program uitgebreid door een soortgelijke online cursus te lanceren. Nu kunnen nog meer partners en klanten aan het programma deelnemen. Deze training zal organisaties en particulieren helpen de beveiliging van de door hen gebruikte software te beoordelen en het risico en de mogelijke gevolgen van cyberaanvallen te beperken.

Watis de volgende stap?

Het vertrouwen van gebruikers, klanten en partners is onze hoogste prioriteit. We blijven onze beveiligingspraktijken verfijnen en het Global Transparency Initiative ontwikkelen, en hopen dat het op een dag de internationale norm voor de cyberbeveiligingsindustrie zal worden.

Wat betreft de kwaliteit van de bescherming die onze beveiligingsoplossingen bieden, hebben we ook hier goed nieuws. We hebben onlangs de resultaten van tientallen tests en beoordelingen door toonaangevende onafhankelijke laboratoria die onze producten in 2021 hebben onderzocht samengevat. De resultaten daarvan kunt u hier vinden.

Tips